DSGVO: Verschärfte Datenschutzregeln gelten ab Ende Mai auch im Bauhandwerk
Am 25. Mai beginnt mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Von nun an müssen Unternehmen aktiv nachweisen, dass ihr Datenschutz funktioniert, sie technisch wie organisatorisch alles tun, um einen Datenschutzverstoß zu verhindern, Interessen und Einwilligungen dokumentieren und vieles mehr. Kurzum: Die DSGVO nimmt alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre gesamte Datenverwaltung anzupassen. Betroffen sind dabei alle Daten mit Personenbezug.
Dies alles geschieht im Zuge der zunehmenden Digitalisierung und Industrie 4.0, die ständig Daten erzeugt, verarbeitet, speichert und analysiert. Auch Betriebe im Bauhandwerk sind davon nicht ausgeschlossen, denn auch sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos von vom Richtfest oder dem frisch sanierten Bad samt verbauten Produkten und stolzen Besitzern in ihren Social Media Kanälen und geben Daten unter Umständen an Dritte weiter, beispielsweise wenn Rechnungen von einem Software-as-a-Service-Dienst in der Cloud bearbeitet werden. Damit gelten auch Bauhandwerker – gleich ob Kleinstunternehmen oder börsennotierter Konzern – als datenverarbeitende Unternehmen und sind vom Inkrafttreten der DSGVO betroffen.
DSGVO orientiert sich am Bundesdatenschutzgesetz
Geht es um die eigenen, persönlichen Daten, werden Mitarbeiter und Kunden zunehmend sensibler. Diesem Umstand kommt die DSGVO nach, indem sie von Unternehmen verlangt, denjenigen, dessen Daten erfasst werden, auf Wunsch auch über den Umgang mit diesen Daten aufzuklären. Hinzu kommt, dass jeder Schritt, also Datenerfassung, Datenablage, Speicherung und Löschen der Daten, dokumentiert werden muss. Immerhin: Wer bisher schon datenschutzkonform agiert hat, auf den kommen wenige praktische Änderungen zu, denn die DSGVO orientiert sich inhaltlich stark am Bundesdatenschutzgesetz (BDSG). Dennoch müssen Anpassungen vorgenommen werden – und die beginnen mit einer Einwilligungserklärung.
Einwilligungserklärung
Als Faustregel gilt ab dem 25. Mai, dass Bauhandwerker für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen müssen. Zum Beispiel, wenn sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen.
Ohne Einwilligung dürfen künftig nur Daten verarbeitet werden, diese
• zur Auftragserfüllung erforderlich sind.
Darunter fallen zum Beispiel die betriebsinterne Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird. Ebenfalls muss keine Einwilligungserklärung eingeholt werden, wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, beispielsweise wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert.
• zur Erfüllung der Pflichten als Arbeitgeber benötigt werden.
Dazu gehört beispielsweise die Meldung der Sozialabgaben und Lohnsteuer an die Finanzbehörden und Krankenkassen.
Neue Informations- und Dokumentationspflichten
Mit der DSGVO kommen neue Informationspflichten auf Bauhandwerker zu, die greifen, wenn sie eine eben erwähnte Einwilligungserklärung einholen: Denn dann muss die betroffene Person schriftlich darüber informieren werden, was mit den erhobenen Daten zum Zeitpunkt der Datenerhebung geschieht.
Neu ist auch das Auskunftsrecht: Alle Personen, von denen Daten im Unternehmen gespeichert werden, haben das Recht, Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einzuholen. Diese Aufgabe lässt sich leicht bewältigen, wenn Auskünfte über personenbezogene Daten per Knopfdruck generiert werden können. Bereits die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind.
In der Praxis setzen Handwerksbetriebe allerdings gern auf gängige Office-Anwendungen. Doch was zunächst als günstigere Lösung erscheint, erweist sich im Nachhinein meist als teuer. Denn mit den gängigen Office-Anwendungen müssen Informationen an mehreren Stellen im Unternehmen gepflegt werden, anstatt eine zentrale Basis zu schaffen. Aus diesem Grund sind Informationen, also Daten, schon nach kurzer Zeit nicht mehr aktuell oder müssen mühsam zusammengesucht werden.
Verzeichnis von Verarbeitungstätigkeiten
Überall dort, wo personenbezogene Daten verarbeitet werden, müssen alle Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“ dokumentiert werden. Aufgeführt wird insbesondere welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. Für die Datenschutz-Dokumentation sollte eine Software-Lösung gewählt werden, die eine strukturierte Vorgehensweise schafft, um die Umsetzung zu erleichtern. Darüber hinaus sollte die Software Überblick auf Knopfdruck generieren, um schnell Berichte über spezielle Informationen erstellen zu lassen. Außerdem sollte sie sich ohne großen Berater- oder Schulungsaufwand von den verschiedenen Mitarbeitern im Unternehmen bedienen lassen.
In das Verfahrensverzeichnis gehören unter anderem Namen sowie Kontaktdaten des für die Verarbeitung Verantwortlichen sowie die des Datenschutzbeauftragten. Weiter werden die Zwecke der jeweiligen Datenverarbeitung offengelegt. Daneben ist anzugeben, wer von der Datenverarbeitung betroffen ist, und wer die Empfänger sind, denen gegenüber die Daten offengelegt werden.
So wird ein Verfahrensverzeichnis angelegt:
1. Sämtliche Daten, die im Unternehmen verarbeitet werden, müssen gesichtet werden: Wo fallen personenbezogene Daten an, wo werden sie gespeichert und verarbeitet? Es zeigt sich, dass Daten in den unterschiedlichsten Prozessen anfallen, beispielsweise in der Buchhaltung, Lohnbuchhaltung, Kundenkartei, im Cloud-Speicher, Newsletter-Tool, sogar bei Cookies und Social Plugins und vielen anderen Prozessen.
2. Liegt eine Einwilligungserklärung aller betroffenen Personen für die Verarbeitung ihrer Daten vor? Diese gehört in einer geeigneten Dokumentation angelegt.
3. Jede Datenart erhält nun eine Frist wie lange diese Daten aufbewahren werden dürfen oder müssen (gesetzliche Speicherfristen).
4. Zu jeder Datenart wird nun angegeben, wie diese regelmäßig auf ihre Richtigkeit überprüft wird.
5. Es folgt die Überlegung, wie die Daten sicher wieder gelöscht werden können, beispielsweise wenn ein Kunde die Löschung verlangt. (Backups dabei nicht vergessen)
6. Sind alle Sicherheitsmaßnahmen auf dem „aktuellen Stand der Technik“? Dazu gehört eine ausreichende Zugangskontrolle inklusive Dokumentation und der Einsatz zeitgemäßer Hard- und Software.
Sonderregelung für KMU
Bauhandwerker sollten aber prüfen, ob ihr Betrieb überhaupt von dieser Regelung betroffen ist: Die DSGVO setzt sich mit der speziellen Situation von Kleinstunternehmen und kleinen und mittleren Unternehmen (KMU) auseinander und enthält eine abweichende Regelung für Betriebe mit weniger als 250 Angestellten.
Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Drei Voraussetzungen müssen sie dafür allerdings erfüllen:
1. Die vorgenommene Datenverarbeitung darf kein Risiko für die Rechte und Freiheiten betroffener Personen bergen.
2. Die Datenverarbeitung erfolgt nicht nur gelegentlich.
3. Die Datenverarbeitung schließt keine besonderen Datenkategorien oder die Verarbeitung von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen ein.
KMU erfahren beim Thema Verfahrensverzeichnis also tatsächlich eine gewisse Erleichterung. In den seltensten Fällen dürfte die aber einschlägig sein. Denn es ist die Ausnahme von der Ausnahme, die auch KMU dazu zwingt, am Ende doch ein Verzeichnis zu führen: In der DSGVO heißt es, dass nur die Unternehmen von der Pflicht ein Verzeichnis zu führen befreit sind, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt. In der Praxis ist es jedoch Ansichts- oder Auslegungssache, was denn nun „gelegentlich“ ist und was nicht. Zudem dürften es selbst in den Betrieben, die weit weniger als 250 Mitarbeiter beschäftigen, regelmäßige Datenverarbeitungsvorgänge geben.
Weitere spezielle Maßnahmen für Kleinstunternehmen & KMU
Mit der DSGVO ist ein gewaltiges Regelwerk entstanden. Fehlen interne Ressourcen für die Umsetzung, ist Outsourcing eine Lösung. Das betrifft gerade auch kleinere Handwerksbetriebe, die sich bisher noch nicht mit dem Thema auseinandergesetzt haben. Um ab dem 25. Mai auf der sicheren Seite zu sein, ist externe Hilfe unter Umständen die einzige Möglichkeit, in kurzer Zeit die erforderlichen Maßnahmen zu erkennen und umzusetzen.
Alternativ kommt aber auch das Insourcing von Kompetenzen in Frage. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools helfen bei der Umsetzung der DSGVO. Immerhin sind sich sowohl die Aufsichtsbehörden als auch der Gesetzgeber bewusst, dass insbesondere KMU Probleme bei der Umsetzung der vielen neuen Pflichten haben. Aus diesem Grund offerieren sie spezielle Schulungs- und Beratungsangebote. Nennenswert ist zum Beispiel der Online-Test zur Standortbestimmung, der vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) entwickelt wurde. 28 Fragen führen den Unternehmer spielerisch vom Start zum Ziel und bieten damit einen Einblick in die Inhalte der DSGVO.
Auch die PSW GROUP Consulting (www.psw-consulting.de) bietet verschiedene Möglichkeiten, bei der Umsetzung der neuen Regeln zu unterstützen: Mittels einer TÜV-zertifizierten Ist-Aufnahme finden die IT-Sicherheitsexperten des Consulting Unternehmens beispielsweise innerhalb weniger Tage heraus, wo ein Baubetrieb im Bereich Datenschutz überhaupt steht, warum er dort steht und was noch zur Umsetzung der DSGVO fehlt. Die Analyse identifiziert Datenschutz-relevante Stärken und Schwächen im Unternehmen, zeigt konkrete sowie individuelle Handlungsempfehlungen auf und ist gleichzeitig eine Dokumentation für die Aufsichtsbehörden.
Zusätzlich enthält die DSGVO auch sogenannte Verhaltensregeln. Sie sollen unter Beachtung der besonderen Bedürfnisse von Kleinstunternehmen sowie KMU dabei helfen, die Verordnung umzusetzen. Neben der Handwerkskammer bieten die Innungen des Bauhandwerks und die meisten Kreishandwerkschaften Seminare an oder haben Leitfäden zum Thema erarbeitet, die auch Best-Practice-Anleitungen zur Umsetzung der DSGVO erhalten. Der Zentralverband des Deutschen Handwerks (ZDH) hat auf seiner Webseite ebenfalls viele Informationen zusammengefasst.
Autor
Christian Heutger berät als IT-Sicherheitsexperte Unternehmen zu Datenschutz und IT-Security. Er ist Lehrbeauftragter sowie temporär agierender Lehrer und Dozent, unter anderem an der FH Fulda. Heutger ist außerdem Geschäftsführer der PSW GROUP, die sich auf SSL- und Internet Security-Produkte spezialisiert hat, der PSW GROUP Training und der PSW GROUP Consulting.
